InfoExpress尝试了一种对等NAC实施

通过曼迪安德丝

足球竞猜app软件 |

InfoExpress

成本:40美元每用户

分数:3．15

InfoExpress通过一种不需要对网络基础设施进行任何更改的产品来实现网络访问控制。使用InfoExpress Dynamic NAC for Windows产品，策略由中央策略管理服务器控制，但实施由驻留在受信任系统上的分布式代理(称为Enforcers)处理。

这些代理不是特殊的系统，而是任何运行InfoExpress DNAC代理的受信任设备。例如，在一个受信任的公司笔记本电脑的网络段上，这些设备中的一些将充当执法人员，帮助管理来自新用户、未授权用户或碰巧不在的授权用户的未授权流量合规与政策。

想想点对点的NAC，一个民兵组织的执法者集体工作来保护你局域网．

这些分布式的Enforcers一起监视网络流量(该公司没有透露它的秘密武器，但我们有根据的猜测是他们正在寻找地址-解析-协议请求和广播)。通过这种侦察，Enforcers可以在没有适当代理的情况下识别系统，并响应中央管理服务器关于在执行遵从性评估之后如何处理端点的指示。然后，强制执行程序通过阻止端点的网络访问(策略允许的流量除外)来处理不符合要求的计算机的隔离措施。

执行者还可以处理访客和其他未受管理的设备，方法是将它们重定向到一个专属门户，在那里他们可以获得兼容的代理软件。

该产品具有有效伸缩的潜力，因为您向网络添加的系统越多，您可以指定的Enforcers就越多。

除了代理软件，DNAC还有其他三个主要组件。Policy Server与所有代理(包括作为强制执行者的代理和不作为强制执行者的代理)通信，以查看它们是否符合要求。策略管理器是一个独立的应用程序仅用于政策制定。报表服务器从Policy Server收集信息用于报表，可以很容易地从单独的Web界面进行访问。

为了测试，我们安装了服务器组件安装在中央Windows 2003服务器上，并在我们的几个Windows系统上安装了代理。

InfoExpress还可以在802.1倍环境。这需要公司的802.1X设备，称为CyberGatekeeper服务器，InfoExpress没有提交测试。

支持Active Directory身份验证，但其设置不够无缝。这个过程需要设置一个网站，在这个网站上，身份验证通过与站点上infoexpress提供的程序进行通信在幕后进行，然后将身份验证信息传递给Active Directory。

在DNAC部署中，策略仅应用于IP地址组，根据策略需求的粒度，可能无法提供某些组织所需的所有灵活性。在产品中创建策略非常麻烦，您必须在单独的策略管理器应用程序中创建策略，然后将策略推送到策略服务器进行部署。策略管理器应用程序本身使用起来并不直观，而且使用该接口设置更复杂的策略检查具有挑战性。

对于终点评估，DNAC支持一些主要的供应商防病毒软件和桌面软件防火墙从盒子里拿出来。系统patch-status检查是可用的，但是配置起来很麻烦和复杂，因为您必须通过所有的发布微软补丁，并检查您希望包含在策略中的补丁。如果发布了新的补丁，您需要更改策略，将它们包含在下一次系统检查中。我们更喜欢“当前有补丁”检查，以减轻设置和管理开销。

我们对所需的反病毒、注册表密钥检查和补丁进行了标准测试。一切都如预期的那样顺利。

在检测已经被感染的系统方面，DNAC包括对可能正在运行的系统寻求访问的病毒和间谍软件的少量检查。它能够识别出被感染的测试系统。

InfoExpress没有使用任何漏洞扫描器来检查端点上的潜在漏洞。但是您可以为某些文件属性、注册表项、系统IP地址和INI文件设置构建自定义检查。

代理软件不断地监视其端点系统的状态。重大的差异，例如网络位置的变化，将触发系统对政策的重新评估。

一组标准的补救选项是可用的，包括向违规用户发送消息、提供URL链接或强制下载和执行程序。

只有使用上面提到的802.1X组件才能将用户推送到隔离虚拟局域网。

总的来说，配置有点令人困惑。一些配置选项(如到身份验证脚本的URL)是在策略服务器上设置的，而其他配置选项则是通过报表服务器Web GUI执行的。

完全基于web的报告功能是可用的，它侧重于针对代理提供的数据(包括用户名、IP地址、评估状态和评估结果的详细信息)进行搜索的过滤器，以生成报告。但是，生成的报告是不可导出的，也无法安排。

对于许多组织来说，InfoExpress点对点NAC可能是进入NAC解决方案的最佳入口点，因为它不需要更改网络基础设施，但是一个令人困惑的管理系统和具有挑战性的策略创建过程可能会增加部署的难度。

<以前的故事:ForeScout|下一个故事:瞻博网络>